Настоящая Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью «АртМед» (далее – Политика) определяет правовые основания, принципы, цели, требования к обработке и защите персональных данных в Обществе с ограниченной ответственностью «АртМед» (далее – Общество).
Настоящая Политика разработана во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и является основным внутренним нормативным документом Общества в области обработки и защиты персональных данных.
Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе, являющимся оператором в соответствии Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
Положения настоящей Политики являются обязательными для исполнения работниками Общества, имеющими доступ к персональным данным.
Настоящая Политика является общедоступной и хранится в месте нахождения Общества по адресу: Республика Татарстан, г. Набережные Челны, ул. Академика Рубаненко, дом 4, подъезд 3, офис 126, а также размещена на сайте Общества по адресу: www.artmed16.ru.
1.1 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.2 Защита персональных данных – деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;
1.3 Информационная система персональных данных – совокупность содержащихся в базе данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.4 Конфиденциальность персональных данных – обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
1.5 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, удаление, уничтожение персональных данных;
1.6 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.7 Субъекты персональных данных – физические лица (пациенты), которым оказываются медицинские услуги на основании заключенного с Обществом договора.
2.1 Обработка персональных данных в Обществе осуществляется в связи с выполнением Обществом функций, предусмотренных и определяемых:
2.1.1 Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
2.1.2 Федеральным законом от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
2.1.3 Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
2.1.4 Уставом Общества;
2.1.5 Лицензией на осуществление медицинской деятельности.
2.2 Обработка персональных данных осуществляется с целью:
2.2.1 Оказания медицинских услуг;
2.2.2 Исполнения требований законодательства Российской Федерации в области защиты персональных данных.
3.1 В Обществе обрабатываются следующие персональные данные: фамилия, имя, отчество, дата рождения, пол, контактный телефон, семейное положение, количество и возраст детей, сведения о состоянии здоровья, используемые с целью установления медицинского диагноза, согласно п. 2 ст. 10 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
3.2 Указанные персональные данные принадлежат физическим лицам (пациентам), которым оказываются медицинские услуги на основании заключенного с Обществом договора.
4.1 Обработка персональных данных субъектов персональных данных осуществляется только с согласия субъекта персональных данных на обработку персональных данных.
4.2 Обработка персональных данных осуществляется путем:
4.2.1 Получения информации, содержащей персональные данные, в устной и (или) письменной форме непосредственно от субъектов персональных данных;
4.2.2 Предоставления субъектами персональных данных оригиналов необходимых документов;
4.2.3 Внесения персональных данных в информационную систему персональных данных;
4.2.4 Использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой деятельности.
4.3 Обработка персональных данных ведется с использованием и без использования средств автоматизации. В соответствии с требованиями Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» Общество, оказывающее медицинские услуги, имеет право создавать локальные информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством Российской Федерации требований о защите персональных данных и соблюдением врачебной тайны. Автоматизированная обработка персональных данных осуществляется в многопользовательском режиме с разграничением прав доступа, информация доступна лишь для строго определенных работников Общества.
4.4 К обработке персональных данных допускаются только те работники Общества, доступ которых к персональным данным, необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей. Работники Общества, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, порядке хранения материальных носителей персональных данных. Работниками Общества даются письменные обязательства о неразглашении сведений, составляющих персональные данные, конфиденциальные сведения, а также информацию, составляющую врачебную тайну.
4.5 Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах с ограниченным доступом. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации, хранятся в информационной системе персональных данных. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Персональные данные уничтожаются или обезличиваются при достижении целей их обработки, утрате необходимости в достижении этих целей или окончании срока хранения персональных данных, определенного, согласием на обработку персональных данных, федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. При уничтожении персональных данных как на бумажных носителях, так и в информационной системе персональных данных Общество обеспечивает невозможность их последующего восстановления.
4.6 Общество может передавать персональные данные третьим лицам в следующих случаях:
4.6.1 При наличии письменного согласия субъекта персональных данных на передачу его персональных данных третьему лицу, включающего наименование или фамилию, имя, отчество и адрес третьего лица, цели, сроки и способы обработки третьим лицом персональных данных;
4.6.2 В случае если передача персональных данных третьему лицу необходима для выполнения обязательств Общества перед субъектом персональных данных;
4.6.3 В случае если обязанность по передаче персональных данных третьему лицу (органам дознания и следствия, иным уполномоченным органам) предусмотрена действующим законодательством Российской Федерации.
4.7 Прекращение обработки персональных данных субъектов персональных данных осуществляется по письменному требованию субъектов персональных данных после завершения производства расчетов за оказанные медицинские услуги или по истечению сроков хранения персональных данных.
5.1 Субъект персональных данных обязан предоставлять достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.
5.2 Субъект персональных данных имеет право:
5.2.1 Получать информацию, касающуюся обработки его персональных данных, в порядке, форме и в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
5.2.2 Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
5.2.3 Отозвать свое согласие на обработку персональных данных.
5.3 Общество обязано:
5.3.1 Организовывать и осуществлять медицинскую деятельность в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации;
5.3.2 Разъяснять субъекту персональных данных последствия отказа предоставления персональных данных;
5.3.3 Предоставлять по просьбе (запросу) субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативно-правовыми актами;
5.3.4 Принимать необходимые меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
5.3.5 Обеспечивать сохранность и конфиденциальность персональных данных субъекта персональных данных, исключить доступ к ним третьих лиц.
6.1 Для обеспечения безопасности персональных данных Общество обязуется принимать необходимые меры правового, организационного и технического характера, включающие в том числе:
6.1.1 Назначение ответственного за организацию обработки персональных данных;
6.1.2 Разработка и поддержание актуальности внутренних нормативных документов в отношении обработки и защиты персональных данных;
6.1.3 Ввнутренний контроль и/или аудит соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам;
6.1.4 Ознакомление работников Общества, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и внутренних нормативных документов Общества в отношении обработки и защиты персональных данных;
6.1.5 Учет работников, допущенных к обработке персональных данных;
6.1.6 Учет материальных носителей персональных данных;
6.1.7 Разграничение и установление порядка доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
6.1.8 Регистрация и учет действий, совершаемых с персональными данными в информационных системах персональных данных;
6.1.9 Применение технических средств защиты информации, в том числе антивирусного программного обеспечения.
6.2 Доступ в информационные системы осуществляется по предоставляемым учетным данным (логин/пароль). Передача работником Общества своего пароля (учетных данных) третьим лицам строго запрещена.
7.1 Работники Общества, имеющие доступ к персональным данным, обрабатываемым в Обществе, должны обеспечивать конфиденциальность персональных данных. В соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» раскрытие третьим лицам и распространение персональных данных, а также сведений о факте обращения гражданина за получением медицинской услуги, состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании, осуществляется только с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
8.1 Общество несет ответственность за соблюдение прав субъектов персональных данных, предусмотренных действующим законодательством Российской Федерации. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.